De acuerdo con una encuesta realizada en México por PwC en 2017, un 87% de las organizaciones participantes aceptaron haber tenido algún tipo de incidente de seguridad TI.
Esto resulta significativo si se comparan las cifras de delitos de otra índole a nivel global. Por ejemplo, el robo de autos tiene un valor estimado de 56 millones de dólares; la venta de cocaína supera los 85 millones de dólares, mientras que el robo en línea a tarjetas de crédito representa más de 100 millones de dólares.
“Lo anterior puede darnos una idea de las dimensiones que tienen los ciberataques: se trata de un negocio mucho más lucrativo que cualquier otra actividad ilícita a nivel mundial”, expuso Raúl Zárate, Senior Systems Engineer de Symantec en la mesa redonda “El futuro de la ciberdefensa integrada”, que organizó CIO México en Guadalajara, con el patrocinio de TEAM (Tecnología Especializada Asociada de México) y Symantec.
Los asistentes a este encuentro compartieron cuáles son los retos que enfrentan en materia de seguridad y qué mejores prácticas de ciberdefensa están llevando a cabo.
Enrique Torres, Director Corporativo de Tecnologías de Información y Comunicaciones de Grupo Solana, dijo que el año pasado iniciaron la implementación de un sistema de seguridad para sus 1,500 nodos que incluye gateways, antivirus, anti ransomware, un DRP y respaldos en nube. “Es importante tomar en consideración el impacto que puede ocasionar un ciberataque contra la inversión que se haga en seguridad: ¿cuánto cuesta, por ejemplo, dejar de facturar un día o qué tanto tardará recuperar la información pueda estar comprometida?”.
En este sentido, Rafael del Moral, Gerente de TI de Chocolate Ibarra, aseveró que lo que se vende actualmente está supeditado a la seguridad de la información con que cuente una empresa. “El dinero equivale a información”, por lo que resulta muy sensible la probabilidad de que se produzca una fuga de la información de los clientes, y entonces la credibilidad, el buen nombre y el prestigio de una empresa pueda quedar en entredicho”.
Por su parte, Oscar Espinosa, Coordinador de TI en Operación Moda, una empresa de Grupo Piagui, fabricante y comercializadora de bolsas y calzado, manifestó que su mayor desafío es la alineación de los sistemas en su planta de manufactura para trabajar con la plataforma SAP que tiene el Grupo. También buscan hacer mejoras en el desarrollo de productos implementando el diseño en 3D. Mencionó que la empresa diseña y desarrolla “unos 400 productos por temporada”. Y al referirse a temas de protección de datos, dijo que se han implementado herramientas de firewalls y antivirus para obtener un buen nivel de seguridad perimetral y los dispositivos móviles de los usuarios.
Y es que cuando se explican correctamente las necesidades tecnológicas que se tienen en materia de seguridad, “los inversionistas terminan por aprobar las iniciativas requeridas”, afirmó César Quiroz, Director Corporativo de Tecnologías de la Información y Comunicaciones de Grupo Kasto, dedicado a diversas actividades productivas tales como la agroindustria –que incluye desde la generación del grano hasta la fabricación de la harina de trigo–, alimentos balanceados, granjas porcinas, así como una cadena de restaurantes en la ciudad de Guadalajara.
Agregó que ante tal diversidad de sectores y actividades de negocio, su labor ha consistido en establecer un “pilar de seguridad TI” que incluye desde lo más básico como es un firewall y un antivirus, hasta el proyecto de un Centro de Operaciones de Seguridad (SOC). “Porque, a diferencia de la implementación de un ERP –que tiene un inicio y un fin–, la seguridad es un tema ‘vivo’ al cual se le debe revisar, modificar y destinar inversiones”, dijo.
Esta multiplicidad de funciones tampoco le es ajena a Juan Francisco Martínez, Director de Calidad y Tecnología del Grupo Aeroportuario del Pacífico, quien es responsable de las labores de innovación, planeación estratégica, procesos, medio ambiente y sustentabilidad, además de supervisar los procesos de certificaciones tipo ISO de este Grupo. “Con todo lo anterior intento tener una visión transversal en distintas áreas, algo que muchas veces pierden las empresas”, afirmó el directivo.
Por su parte, Fernando Velasco, CIO de Grupo Wendy, fabricante de colchones, compartió que ha trabajado con estudiantes de universidades e instituciones de nivel superior dentro de su planta. “Allí tenemos la oportunidad de enseñarles lo que pudieran ver en grandes industrias. Por ejemplo, tenemos 800 puntos de monitoreo que son bastantes para una planta como la nuestra, donde laboran mil personas. Esto nos permite saber al momento cuando se produce un cambio en alguna línea de código”.
Agregó que dentro del área de TI ha logrado incluir las labores de innovación, lo cual le ha permitido incursionar en proyectos de Internet Industrial de las Cosas con sensores en la planta.
Cómo hacer conciencia entre el personal
Los participantes en esta mesa redonda hablaron sobre la importancia que tiene para una organización asumir los usos y costumbres de los usuarios internos, mejor conocida como “cultura de seguridad TI”.
Héctor Ibarra, Coordinador de TIC en el CIATEJ (Centro de Investigación y Asistencia en Tecnología del Estado de Jalisco, A.C.), perteneciente al Consejo Nacional de Ciencia y Tecnología (Conacyt), expresó que “el tema cultural es el reto más importante que tienen ahora”, por ello, han efectuado la estandarización de cultura TI tanto en los procesos de inducción que debe cursar el personal de nuevo ingreso, como en los programas de capacitación de quienes han laborado desde hace tiempo en el Centro.
Para que este tipo de temas logre captar la atención de la audiencia objetivo, debe incluir elementos pedagógicos sin ser aburrida ni que suene a controladora. Así lo ha hecho el área a cargo de Juan Francisco Martínez, de Grupo Aeroportuario. “Estamos haciendo que esta capacitación, además de ser obligatoria, sea pedagógica, con ejemplos prácticos, de manera que los usuarios comprendan que tales enseñanzas para evitar riesgos de TI pueden servirles no sólo para su trabajo sino también para la vida misma. Esto nos ha permitido tener una mayor aceptación”.
Oscar Espinosa, de Operación Moda, dijo que ellos han optado por hacer campañas de concientización interna utilizando experiencias de los propios usuarios. “Esto nos ha ayudado a inculcarles un mayor sentido común sobre situaciones anormales cuando abren su correo electrónico, o algunos comportamientos de ingeniería social que pueden poner en riesgo su información. Con este tipo de criterios, hemos tenido menos eventos que comprometan la seguridad”.
Asimismo, Carlos Jarero, Gerente de Sistemas SAP en Grupo Arcoíris, un conglomerado de empresas fabricantes de soluciones de plástico para las industrias farmacéutica, alimenticia, nutricional y cosmética, destacó que uno de sus principales restos es migrar hacia la nube, así como proteger la información y para ello ha establecido una serie de mejores prácticas. “Por ejemplo, tenemos que cambiar nuestros passwords de manera periódica con la condición de que sean totalmente diferentes a los anteriores. Con medidas como ésta se puede fomentar una nueva cultura entre la gente”.
Análisis de vulnerabilidades y riesgos calendarizado
Después de discutir el aspecto humano desde un ángulo formativo, los participantes en esta mesa redonda aportaron ideas respecto a con qué frecuencia se debe realizar un análisis de vulnerabilidades y riesgos en las organizaciones.
Para Raúl García, CIO de Sánchez y Martín, una empresa con casi 90 años en el mercado de productos para cuidado personal y limpieza del hogar –fabricante de marcas como el detergente Bold y el jabón Lirio–, dijo que recientemente la compañía efectuó un diagnóstico de la seguridad TI y en él se expuso que un análisis de vulnerabilidad y riesgos podría ser similar al chequeo que deberían hacerse las personas cada año. “Nos parece que cada 12 meses puede ser un periodo adecuado, al menos en nuestro caso, ya que anualmente también realizamos otros ejercicios de negocio como el presupuesto o la priorización de proyectos”. Sin embargo, aclaró que cada negocio tiene particularidades y necesidades para efectuar tal análisis.
Finalmente, José Ramón Covarrubias, Director de Tecnología e Innovación de Alimentos Sello Rojo, la tercera productora de leche a nivel nacional, con 52 centros de distribución y cuatro plantas productoras, coincidió en que la periodicidad de este análisis depende de cada tipo de negocio, así como de la relación costo/beneficio que pueda aportar.
“Puede ser bimestral o semestral debido a los cambios internos tales como desarrollos a la medida. También es un periodo que permite estar enterado sobre las amenazas externas que se producen con mayor frecuencia. El reto consiste en actualizar los sistemas que tenemos y buscar nuevas tecnologías”, concluyó Covarrubias.